Przewodnik wdrażania: zarządzanie urządzeniami z systemem iOS/iPadOS w usłudze Microsoft Intune
Usługa Intune obsługuje zarządzanie urządzeniami przenośnymi (MDM) typu iPad i iPhone, a także zapewnia użytkownikom bezpieczny dostęp do służbowej poczty e-mail, danych oraz aplikacji. Ten przewodnik zawiera wskazówki dotyczące systemu iOS, które ułatwiają konfigurowanie rejestracji i wdrażanie aplikacji oraz zasad dla użytkowników i urządzeń.
Wymagania wstępne
Zanim rozpoczniesz, musisz spełnić poniższe wymagania wstępne, aby włączyć zarządzanie urządzeniami z systemem iOS/iPadOS w usłudze Intune. Aby uzyskać bardziej szczegółowe informacje na temat konfigurowania usługi Intune, dołączania i przenoszenia do niej, zobacz Przewodnik wdrażania konfiguracji usługi Intune.
- Dodawanie użytkowników i grup
- Przypisywanie licencji do użytkowników
- Ustawianie urzędu zarządzania urządzeniami przenośnymi
- Mieć uprawnienia administratora globalnego lub administratora usługi Intune Microsoft Entra
- Konfigurowanie certyfikatu wypychania Apple (APNs)
Planowanie wdrożenia
Przewodnik planowania dotyczący usługi Microsoft Intune zawiera wskazówki i porady ułatwiające określenie celów, scenariuszy użycia i wymagań. Opisano w nim również, jak tworzyć plany wprowadzania, komunikacji, obsługi, testowania i walidacji.
Tworzenie reguł zgodności
Zasady zgodności określają reguły i warunki, które powinny zostać spełnione przez użytkowników i urządzenia, aby uzyskali dostęp do chronionych zasobów. Jeśli korzystasz z dostępu warunkowego, jego zasady mogą blokować dostęp do zasobów z poziomu niezgodnych urządzeń na podstawie wyników zgodności urządzenia. Aby uzyskać szczegółowe informacje dotyczące zasad zgodności oraz rozpoczynania pracy, zobacz Korzystanie z zasad zgodności w celu ustawiania reguł dla urządzeń zarządzanych w usłudze Intune.
| Zadanie | Szczegóły |
|---|---|
| Tworzenie zasad zgodności | Uzyskaj szczegółowe wskazówki dotyczące tworzenia i przypisywania zasad zgodności do grup użytkowników i urządzeń. |
| Dodawanie akcji w przypadku niezgodności | Wybierz, co się stanie, gdy urządzenia przestaną spełniać warunki określone przez zasady zgodności. Możesz dodać akcje na wypadek niezgodności podczas konfigurowania zasad zgodności urządzenia lub edytując je później. |
| Tworzenie zasad dostępu warunkowego opartych na urządzeniach lub opartych na aplikacjach | Określ aplikacje lub usługi, które chcesz chronić, i zdefiniuj warunki dostępu. |
| Blokowanie dostępu do aplikacji, które nie korzystają z nowoczesnego uwierzytelniania | Utwórz zasady dostępu warunkowego oparte na aplikacji, aby blokować aplikacje korzystające z metod uwierzytelniania innych niż OAuth2 — na przykład aplikacje, które używają uwierzytelniania podstawowego i uwierzytelniania opartego na formularzach. Zanim jednak zablokujesz dostęp, zaloguj się do Microsoft Entra identyfikatora i przejrzyj raport aktywności metod uwierzytelniania, aby sprawdzić, czy użytkownicy korzystają z uwierzytelniania podstawowego, aby uzyskać dostęp do podstawowych elementów, o których nie pamiętasz lub o których nie wiesz. Na przykład z uwierzytelniania podstawowego mogą korzystać kioski kalendarza sali konferencyjnej. |
Konfigurowanie zabezpieczeń punktu końcowego
Funkcje zabezpieczeń punktu końcowego w usłudze Intune umożliwiają konfigurowanie zabezpieczeń urządzeń i zarządzanie zadaniami zabezpieczeń dla zagrożonych urządzeń.
| Zadanie | Szczegóły |
|---|---|
| Zarządzanie urządzeniami za pomocą funkcji zabezpieczeń punktu końcowego | Użyj ustawień zabezpieczeń punktu końcowego w usłudze Intune, aby skutecznie zarządzać zabezpieczeniami urządzeń i naprawiać związane z nimi problemy. |
| Włączanie łącznika obrony przed zagrożeniami mobilnymi (OPZM) dla niezarejestrowanych urządzeń | Włącz połączenie OPZM w usłudze Intune, aby aplikacje partnerskie OPZM mogły współdziałać z usługą Intune i Twoimi zasadami. Jeśli nie korzystasz z ochrony punktu końcowego w usłudze Microsoft Defender, rozważ włączenie łącznika, aby użyć innego rozwiązania do obrony przed zagrożeniami mobilnymi. |
| Tworzenie zasad ochrony aplikacji OPZM | Utwórz zasady ochrony aplikacji w usłudze Intune, które oceniają ryzyko i ograniczają dostęp urządzenia do zasobów firmy na podstawie poziomu zagrożenia. |
| Dodawanie aplikacji OPZM do niezarejestrowanych urządzeń | Udostępnij osobom w organizacji aplikacje OPZM i skonfiguruj aplikację Microsoft Authenticator dla systemu iOS/iPadOS. |
| Korzystanie z dostępu warunkowego w celu ograniczenia dostępu do aplikacji Microsoft Tunnel | Użyj zasad dostępu warunkowego, aby ograniczyć dostęp urządzenia do bramy sieci VPN aplikacji Microsoft Tunnel. |
Konfigurowanie ustawień urządzenia
Użyj usługi Microsoft Intune, aby włączać i wyłączać ustawienia i funkcje na urządzeniach z systemem iOS/iPadOS. Aby skonfigurować i wymusić te ustawienia, utwórz profil konfiguracji urządzenia, a następnie przypisz ten profil do grup w organizacji. Urządzenia otrzymają profil po ich zarejestrowaniu.
| Zadanie | Szczegóły |
|---|---|
| Tworzenie profilu urządzenia w usłudze Microsoft Intune | Dowiedz się więcej o różnych typach profilów urządzeń, które można utworzyć dla organizacji. |
| Konfigurowanie funkcji urządzenia | Skonfiguruj typowe cechy i funkcje systemu iOS/iPadOS w kontekście służbowym. Aby uzyskać opis ustawień w tym obszarze, zobacz dokumentację ustawień urządzenia. |
| Konfigurowanie profilu sieci Wi-Fi | Ten profil umożliwia użytkownikom znajdowanie sieci Wi-Fi organizacji i łączenie się z nią. Aby uzyskać opis ustawień w tym obszarze, zobacz dokumentację ustawień sieci Wi-Fi. |
| Konfigurowanie profilu sieci VPN | Skonfiguruj opcję bezpiecznej sieci VPN, taką jak aplikacja Microsoft Tunnel, dla osób łączących się z siecią organizacji. Możesz także utworzyć zasady sieci VPN dla określonej aplikacji, aby wymagać od użytkowników logowania się do niektórych aplikacji przez połączenie sieci VPN. Aby uzyskać opis ustawień w tym obszarze, zobacz dokumentację ustawień sieci VPN. |
| Konfigurowanie profilu poczty e-mail | Skonfiguruj ustawienia poczty e-mail, aby użytkownicy mogli łączyć się z serwerem poczty i korzystać ze służbowego adresu e-mail. Aby uzyskać opis ustawień w tym obszarze, zobacz dokumentację ustawień poczty e-mail. |
| Ograniczanie funkcji urządzeń | Chroń użytkowników przed nieautoryzowanym dostępem i rozproszeniem uwagi, ograniczając funkcje urządzeń, z których korzystają służbowo. Aby uzyskać opis ustawień w tym obszarze, zobacz dokumentację ograniczeń urządzenia. |
| Konfigurowanie profilu niestandardowego | Dodaj i przypisz ustawienia i funkcje urządzenia, które nie są wbudowane w usługę Intune. |
| Dostosowywanie procesu znakowania i rejestracji | Dostosowywanie portalu firmy i aplikacji Microsoft Intune przy użyciu tekstów, znakowania, preferencji ekranu i informacji kontaktowych organizacji. |
| Konfigurowanie zasad aktualizacji oprogramowania | Zaplanuj automatyczne aktualizacje i instalacje systemu operacyjnego dla urządzeń nadzorowanych z systemem iOS/iPadOS. |
Konfigurowanie bezpiecznych metod uwierzytelniania
Skonfiguruj metody uwierzytelniania w usłudze Intune, aby upewnić się, że dostęp do zasobów wewnętrznych mają tylko autoryzowane osoby. Usługa Intune obsługuje uwierzytelnianie wieloskładnikowe, certyfikaty i poświadczenia pochodne. Certyfikaty mogą być również używane do podpisywania i szyfrowania poczty e-mail przy użyciu protokołu S/MIME.
| Zadanie | Szczegóły |
|---|---|
| Wymaganie uwierzytelniania wieloskładnikowego (MFA) | Wymagaj od użytkowników podania dwóch form poświadczeń podczas rejestracji. |
| Tworzenie profilu zaufanego certyfikatu | Zanim utworzysz profil certyfikatu SCEP, PKCS lub zaimportowanego certyfikatu PKCS, utwórz i wdróż profil certyfikatu zaufanego. Profil certyfikatu zaufanego wdraża zaufany certyfikat główny dla urządzeń i użytkowników przy użyciu certyfikatów SCEP, PKCS i zaimportowanego certyfikatu PKCS. |
| Używanie certyfikatów SCEP w usłudze Intune | Dowiedz się, co jest potrzebne do korzystania z certyfikatów SCEPT w usłudze Intune, i skonfiguruj wymaganą infrastrukturę. Po wykonaniu tych czynności możesz utworzyć profil certyfikatu SCEP lub skonfigurować urząd certyfikacji innej firmy za pomocą protokołu SCEP. |
| Używanie certyfikatów PKCS w usłudze Intune | Skonfiguruj wymaganą infrastrukturę (na przykład lokalne łączniki certyfikatów), wyeksportuj certyfikat PKCS, a następnie dodaj go do profilu konfiguracji urządzenia w usłudze Intune. |
| Korzystanie z zaimportowanych certyfikatów PKCS w usłudze Intune | Skonfiguruj zaimportowane certyfikaty PKCS, które umożliwiają konfigurowanie protokołu S/MIME i używanie go do szyfrowanie wiadomości e-mail. |
| Konfigurowanie wystawcy poświadczeń pochodnych | Inicjowanie obsługi urządzeń z systemem iOS/iPadOS za pomocą certyfikatów pochodzących z kart inteligentnych użytkowników. |
Wdrażanie aplikacji
Podczas konfigurowanie aplikacji i ich zasad zastanów się nad wymaganiami swojej organizacji, takimi jak platformy, które będą obsługiwane, zadania, które muszą wykonywać użytkownicy, typ aplikacji potrzebnych do ich wykonania oraz grupy, które potrzebują tych aplikacji. Za pomocą usługi Intune możesz zarządzać całym urządzeniem (łącznie z aplikacjami) lub samymi aplikacjami.
| Zadanie | Szczegóły |
|---|---|
| Dodawanie aplikacji ze sklepu | Dodaj aplikacje dla systemu iOS/iPadOS ze sklepu App Store do usługi Intune i przypisz je do grup. |
| Dodawanie aplikacji internetowych | Dodaj aplikacje internetowe do usługi Intune i przypisz je do grup. |
| Dodawanie aplikacji wbudowanych | Dodaj wbudowane aplikacje do usługi Intune i przypisz je do grup. |
| Dodawanie aplikacji biznesowych | Dodaj aplikacje biznesowe (LOB) dla systemu iOS/iPadOS do usługi Intune i przypisz je do grup. |
| Przypisywanie aplikacji do grup | Przypisz aplikacje do użytkowników i urządzeń. |
| Dołączanie i wykluczanie przypisań aplikacji | Kontroluj dostęp do aplikacji, dołączając i wykluczając wybrane grupy z przypisania. |
| Zarządzanie aplikacjami dla systemu iOS/iPadOS zakupionymi za pomocą usługi Apple Business Manager | Synchronizuj i przypisuj aplikacje zakupione za pomocą usługi Apple Business Manager oraz zarządzaj nimi. |
| Zarządzanie książkami elektronicznymi dla systemu iOS/iPadOS zakupionymi za pomocą usługi Apple Business Manager | Synchronizuj i przypisuj książki zakupione za pomocą usługi Apple Business Manager oraz zarządzaj nimi. |
| Tworzenie zasad ochrony aplikacji dla systemu iOS/IOS/iPadOS | Przechowuj dane organizacji w aplikacjach zarządzanych, takich jak Outlook i Word. Aby uzyskać szczegółowe informacje na temat poszczególnych ustawień, zobacz Ustawienia zasad ochrony aplikacji dla systemu iOS/iPadOS. |
| Tworzenie profilu informacyjnego aplikacji | Zapobiegaj wygasaniu certyfikatów aplikacji, proaktywnie przypisując nowe profile informacyjne do urządzeń, na których znajdują się aplikacje bliskie wygaśnięcia. |
| Tworzenie zasad konfiguracji aplikacji | Zastosuj niestandardowe ustawienia konfiguracji do aplikacji dla systemu iOS/iPadOS na zarejestrowanych urządzeniach. Te typy zasad można też stosować do aplikacji zarządzanych bez rejestracji urządzenia. |
| Konfigurowanie usługi Microsoft Edge | Korzystaj z rozwiązania Intune App Protection i zasad konfiguracji z przeglądarką Microsoft Edge dla systemu iOS/iPadOS, aby zapewnić dostęp do firmowych witryn internetowych z zastosowaniem odpowiednich zabezpieczeń. |
| Konfigurowanie aplikacji Microsoft Office | Korzystaj z rozwiązania Intune App Protection i zasad konfiguracji z aplikacjami pakietu Office, aby zapewnić dostęp do plików firmy z zastosowaniem odpowiednich zabezpieczeń. |
| Konfigurowanie usługi Microsoft Teams | Korzystaj z rozwiązania Intune App Protection i zasad konfiguracji z aplikacją Teams, aby zapewnić dostęp do środowiska współpracy zespołu z zastosowaniem odpowiednich zabezpieczeń. |
| Konfigurowanie aplikacji Microsoft Outlook | Korzystaj z rozwiązania Intune App Protection i zasad konfiguracji z aplikacją Outlook, aby zapewnić dostęp do firmowej poczty e-mail i kalendarzy z zastosowaniem odpowiednich zabezpieczeń. |
Rejestrowanie urządzeń
Rejestrowanie urządzeń umożliwia im odbieranie utworzonych zasad, dlatego Microsoft Entra grupy użytkowników i grupy urządzeń są gotowe.
Aby uzyskać informacje o poszczególnych metodach rejestracji i wyborze odpowiedniej metody dla organizacji, zobacz Przewodnik rejestracji urządzeń z systemem iOS/iPadOS dla usługi Microsoft Intune.
| Zadanie | Szczegóły |
|---|---|
| Konfigurowanie automatycznej rejestracji urządzenia firmy Apple w usłudze Intune | Skonfiguruj wbudowane środowisko rejestracji dla urządzeń firmowych zakupionych za pomocą usługi Apple School Manager lub Apple Business Manager. Aby uzyskać szczegółowe informacje na temat tego procesu, zobacz Samouczek: rejestrowanie urządzeń z systemem iOS/iPadOS za pomocą funkcji rejestracji urządzeń firmowych firmy Apple w usłudze Apple Business Manager (ABM) |
| Konfigurowanie usługi Apple School Manager w usłudze Intune | Skonfiguruj usługę Intune do rejestracji urządzeń zakupionych w ramach usługi Apple School Manager. |
| Konfigurowanie rejestracji urządzeń za pomocą narzędzia Apple Configurator | Utwórz profil narzędzia Apple Configurator, aby zarejestrować urządzenia firmowe (bez koligacji użytkownika) za pomocą rejestracji bezpośredniej lub wyczyszczone i nowe urządzenia (z koligacją użytkownika) za pomocą Asystenta ustawień. Musisz wyeksportować profil narzędzia Apple Configurator z usługi Intune, co wymaga połączenia USB z komputerem Mac, na którym uruchomione jest to narzędzie. |
| Identyfikowanie urządzeń firmowych | Przypisz do urządzeń status własności firmy, aby zwiększyć możliwości zarządzania i identyfikacji w usłudze Intune. Nie można przypisać statusu własności firmy do urządzeń zarejestrowanych za pomocą usługi Apple Business Manager. |
| Konfigurowanie rejestracji urządzeń Apple przez użytkownika (wersja zapoznawcza) | Utwórz profil rejestracji przez użytkownika, aby wdrożyć środowisko rejestracji urządzeń Apple przez użytkowników na urządzeniach korzystających z zarządzanego identyfikatora Apple ID. Obsługa tej funkcji jest obecnie dostępna w wersji zapoznawczej. |
| Konfigurowanie współdzielonych urządzeń iPad | Skonfiguruj urządzenia tak, aby mogły być używane przez więcej niż jedną osobę (typ konfiguracji, który można spotkać w bibliotekach lub instytucjach edukacyjnych). |
| Tworzenie kopii zapasowych i przywracanie urządzeń | Utwórz kopię zapasową i przywróć urządzenie, aby przygotować je do rejestracji lub migracji w usłudze Intune — na przykład podczas konfigurowania automatycznej rejestracji urządzenia. |
| Zmienianie własności urządzeń | Po zarejestrowaniu urządzenia możesz zmienić jego etykietę własności w usłudze Intune na własność firmową lub osobistą. Ta zmiana wpływa na sposób zarządzania urządzeniem. |
| Rozwiązywanie problemów z rejestracją | Rozwiąż problemy występujące podczas rejestracji. |
Uruchamianie akcji zdalnych
Po skonfigurowaniu urządzeń możesz używać akcji zdalnych w usłudze Intune, aby zarządzać urządzeniami i rozwiązywać związane z nimi problemy na odległość. Dostępność różni się w zależności od platformy urządzenia. Jeśli brakuje akcji lub jest wyłączona w portalu, nie jest ona obsługiwana na urządzeniu.
| Zadanie | Szczegóły |
|---|---|
| Zdalne działania na urządzeniach | Dowiedz się, jak przejść do szczegółów i zdalnie zarządzać poszczególnymi urządzeniami oraz rozwiązywać związane z nimi problemy w usłudze Intune. Ten artykuł zawiera listę wszystkich akcji zdalnych dostępnych w usłudze Intune oraz linki do tych procedur. |
| Używanie aplikacji TeamViewer do zdalnego administrowania urządzeniami usługi Intune | Skonfiguruj aplikację TeamViewer w usłudze Intune i dowiedz się, jak zdalnie administrować urządzeniem. |
| Korygowanie luk w zabezpieczeniach znalezionych przez ochronę punktu końcowego w usłudze Microsoft Defender | Zintegruj usługę Intune z platformą ochrony punktu końcowego w usłudze Microsoft Defender, aby korzystać z jej funkcji zarządzania zagrożeniami i lukami, i korzystaj z usługi Intune do korygowania zagrożeń punktu końcowego identyfikowanych przez funkcję zarządzania lukami w zabezpieczeniach usługi Defender. |
Następne kroki
Zapoznaj się z tymi samouczkami dotyczącymi rejestracji, aby dowiedzieć się, jak wykonywać najważniejsze zadania w usłudze Intune. Zawartość samouczków klasyfikowana jest na poziomie 100–200 w przypadku nowych użytkowników usługi Intune lub określonego scenariusza.
- Omówienie centrum administracyjnego usługi Intune
- Rejestrowanie urządzeń z systemem iOS/iPadOS w usłudze Intune za pomocą funkcji rejestracji urządzeń firmowych Apple w usłudze Apple Business Manager (ABM)
- Chronienie poczty e-mail usługi Exchange Online na urządzeniach zarządzanych
- Chronienie poczty e-mail usługi Exchange Online na urządzeniach niezarządzanych
- Konfigurowanie aplikacji Slack do używania usługi Intune na potrzeby konfiguracji rozwiązania EMM i aplikacji
Aby zapoznać się z wersją tego przewodnika dla systemu Android, zobacz Przewodnik wdrażania: zarządzanie urządzeniami z systemem Android w usłudze Microsoft Intune.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla